Les articles précédents sur ce blog ont mis en évidence les dommages causés par un service d’usurpation d’identité commercialisé dans le métro appelé sndob[dot]ru, qui vendait des numéros de sécurité sociale, des rapports de solvabilité, des permis de conduire et d’autres informations sensibles sur plus de quatre millions d’Américains. Le message d’aujourd’hui se penche sur une identité réelle derrière l’homme probablement responsable de la construction de ce service.
L’été dernier, ssndob[dot]ru (ci-après dénommé « SSNDOB ») a été compromis par plusieurs attaquants, sa propre base de données a été pillée. Une copie de la base de données SSNDOB a été examinée de manière exhaustive par BreachTrace.com. La base de données montre que les 1 300 clients du site ont dépensé des centaines de milliers de dollars pour rechercher des SSN, des anniversaires, des dossiers de permis de conduire et obtenir des rapports de crédit et de fond non autorisés sur plus de quatre millions d’Américains.
Les messages privés et les publications sur divers forums sur le crime montrent que le service offert à ssndob[dot]ru a été initialement enregistré en 2009 sur un domaine appelé ssndob-search.info. Une recherche de documents historiques achetée auprès de domaintools.com montre que ssndob-search a d’abord été enregistré sur un Armand Ayakimyan d’Apcheronsk, en Russie. Ce titulaire a utilisé l’adresse e-mail [email protected].
En 2013, une copie du carding forum cardeur[dot]pro a été divulgué en ligne. Les enregistrements du forum montrent que l’adresse [email protected] a été utilisée par un membre qui a choisi le nom d’utilisateur « Zack » et qui a dit aux autres membres de le contacter sur le compte de messagerie instantanée ICQ 383337. Sur Vkontakte.ru, un réseau social russe populaire site, M. Zack est le nom d’un profil d’Armand Ayakimyan, 24 ans, de Soukhoumi, une ville de l’ouest de la Géorgie et la capitale de l’Abkhazie – une région contestée sur la côte de la mer Noire.
M. Zack indique que sa date de naissance est le 27 août et que sa ville actuelle est Sotchi, le site des Jeux olympiques d’hiver de 2014 (bien que le compte de M. Zack semble avoir été inactif pendant un certain temps). On peut voir quelques photos de M. Ayakimyan (DDN : 27 août 1989) à ce profil du même nom à promodj.com, un site de mixage musical. Ce profil est lié à un profil de groupe créé par un Armand Ayakimyan à Sotchi.
M. Ayakimyan semble avoir utilisé un certain nombre de surnoms différents sur divers forums, notamment « Darkill », « Darkglow » et « Planovoi ». C’est selon les administrateurs de vérifié[dot]cm, un forum sur le crime russe de premier plan sur lequel il avait apparemment créé de nombreux comptes. Dans un fil de discussion amusant de plusieurs pages sur Vérifié, les administrateurs répondent aux plaintes de plusieurs membres concernant le comportement de Plaovoi en le « doxant », répertoriant essentiellement tous les identifiants qui pointent de diverses adresses e-mail, numéros ICQ et alias vers des comptes liés à Armand Ayakimyan. .
BreachTrace a tenté de joindre Ayakimyan via plusieurs adresses e-mail liées à ses différents profils, notamment Facebook. Une personne répondant à l’adresse principale de Jabber utilisée par l’opérateur de SSNDOB – [email protected] – a refusé de commenter cette histoire, en disant seulement « Я против блога. Выберите другой сервис », ou « Je suis contre le blog. Choisissez un autre service. Cette réponse est venue immédiatement après que l’utilisateur de ce profil a mis à jour son message d’état informant les clients que son service d’usurpation d’identité venait d’être approvisionné avec une énorme nouvelle mise à jour des données personnelles sur les Américains.
La conclusion selon laquelle Ayakimyan est/était impliqué dans le fonctionnement du SSNDOB est étayée par des preuves recueillies auprès de Symantec, qui a publié la semaine dernière un article de blog liant le jeune homme au service d’usurpation d’identité. Selon Big Yellow, Ayakimyan n’est que l’un des nombreux hommes prétendument responsables de la création et du stockage du bazar de vol d’identité, un groupe que Symantec appelle le « gang Cyclosa ». À partir de leur rapport:
« Pour garder leur magasin approvisionné, le gang Cyclosa a dû continuer à attaquer les entreprises pour leurs bases de données de données personnelles. En plus des violations majeures couvertes par le rapport de breachtrace, Symantec a découvert que le gang Cyclosa avait compromis un certain nombre d’autres entreprises. En mai 2012, le gang Cyclosa a violé une coopérative de crédit basée aux États-Unis. Quelques mois plus tard, ils ont compromis une banque basée en Californie, aux États-Unis, et une agence gouvernementale géorgienne. Bien que l’agence géorgienne ne dispose peut-être pas de beaucoup d’informations concernant les citoyens américains et britanniques, il est possible que cette attaque ait intéressé personnellement le gang Cyclosa, compte tenu des antécédents d’Armand.
« Début 2009, des preuves ont émergé du partenariat d’Armand avec trois autres personnes qui utilisaient les pseudos ‘Tojava’, ‘JoTalbot’ et ‘DarkMessiah’ sur des forums de cybercriminalité. Il peut y avoir d’autres acteurs impliqués dans cette organisation, mais ces quatre individus semblent être les principaux acteurs de ce groupe. Les quatre d’entre eux ont commis de nombreux actes de cybercriminalité, tels que l’optimisation des moteurs de recherche basée sur des logiciels malveillants et des programmes de paiement au clic. Ils ont également acheté et vendu des comptes de chat détournés, du trafic de botnet et des informations personnelles et financières. La relation d’Armand avec Tojava était vitale pour la formation de SSNDOB. Tojava aurait été responsable de l’introduction d’Armand dans le monde de la cybercriminalité et du cardage. Nous pensons que Tojava a créé de nombreuses fonctionnalités techniques de SSNDOB, telles que son moteur de recherche et ses scripts de requête de numéro de sécurité sociale.
J’ai créé la carte mentale suivante pour garder une trace des différentes identités et adresses de contact apparemment utilisées par Ayakimyan au fil des ans.
BOTNET DE COURTIER EN DONNÉES
Comme l’indique Symantec, les propriétaires de SSNDOB semblent avoir complété leur stock de données personnelles en piratant certains des plus grands courtiers en données d’Amérique. Comme je l’ai écrit dans une histoire exclusive de septembre 2013 – Data Broker Giants Hacked by Identity Theft Service – les opérateurs de SSNDOB ont également géré un très petit botnet qui s’est connecté directement aux serveurs détenus et exploités par certains des plus grands courtiers d’informations personnelles sur la planète – y compris LexisNexis, Kroll et Dun & Bradstreet.
Il n’y a aucune preuve directe que les pirates derrière SSNDOB ont réussi à accéder directement aux magasins de données des consommateurs gérés par ces courtiers ; LexisNexis a déclaré n’avoir trouvé aucun signe d’exfiltration des données des consommateurs, et les deux autres entreprises ont reconnu les cambriolages mais en sont restées là. Mais compte tenu de leur métier, il semble peu probable que les pirates aient gâché une telle opportunité ; la ou les personnes contrôlant ce botnet ont eu accès aux serveurs piratés pendant au moins cinq mois avant qu’ils ne soient découverts.
Pendant ce temps, on ne sait pas si Ayakimyan est toujours impliqué avec SSNDOB. Comme le note Symantec, « Armand semble avoir fait quelques changements de carrière tout au long de sa vie d’adulte, notamment en travaillant dans un studio photo et en devenant directeur des ventes pour une entreprise de cosmétiques. Il a également envisagé d’utiliser ses compétences techniques pour un travail légitime, car il a discuté de la création d’un service de rencontres en ligne et d’un site Web immobilier pour les propriétés en Abkhazie. Cependant, aucun de ces services n’est devenu une réalité. En 2013, Armand semblait travailler dans une église en Russie.
Comme je l’ai mentionné en haut de cet article, en 2013, SSNDOB a été piraté – l’ensemble de son magasin de quatre millions de dossiers de consommation a été pillé (il ne s’agissait que des dossiers que les clients de SSNDOB avaient payé le service pour rechercher). Selon les informations obtenues par BreachTrace, la base de données et le service ont été compromis par le même groupe de jeunes pirates américains responsables du lancement des[dot]su, un site créé pour divulguer les données personnelles de célébrités et de personnalités publiques, y compris Première Dame Michelle Obamaalors directeur de FBIRobert Muelleret Procureur général des États-Unis, Eric Holderparmi tant d’autres (voir capture d’écran ci-dessous).